记一次某开源OA白名单后缀限制下巧用系统设计getshell
原文链接:https://forum.butian.net/share/4132白名单后缀限制下巧用系统设计getshell0x01 路由情况该 OA 的 action 主要是在 webmain 目
阅读全文当心别人删了你的大模型
摘要近期针对AI基础设施的网络安全扫描发现,全球范围内存在大量未授权暴露在公网的Ollama大模型服务器。这些服务器不仅暴露了模型管理接口,还存在敏感操作未授权访问风险。本文通过实证研究揭示了该问题的
阅读全文【零基础高薪直通车】渗透测试工程师训练营
重要!!!2025HW招募,加V:Hacker-ED详情请点击:重要!2025HW招募!当勒索软件一夜瘫痪企业系统,当数据泄露让巨头损失上亿……你是否想过,自己可以成为那个力挽狂澜的“数字侠客”?无需
阅读全文2025年十大最危险勒索软件组织榜单
虽然2024年勒索赎金大幅回落,但2025年勒索软件卷土重来,前两个月活动显著增加。三大勒索软件组织中,BlackLock在2024年第四季度数据泄露帖子增长1425%,有望成为2025年最活跃的勒索
阅读全文『代码审计』曲折的代码审计
0x00 前言一次CTF比赛中遇到一个PHP代码审计题。赛中审计发现存在反序列化函数并以此为出发点开始寻找入口点,未果。赛后整理思路并搭建环境重新审计。0x01 环境搭建操作系统:macOS后端环境:
阅读全文XSS漏洞与SSRF漏洞的联合攻击及其综合防范机制实验平台
项目简介 📝本项目是一个用于研究XSS漏洞与SSRF漏洞联合攻击及其综合防范机制的实验平台。平台提供了独立的XSS攻击、SSRF攻击测试环境,以及两种漏洞的联合攻击测试环境,同时实现了相应的防护机制。
阅读全文重要!2025HW招募!
2025HW招募 ►关于HW近年来网络安全行业内的大规模攻防演练;全国范围,首推一线; ► 关于时间预计4-9月份,2周-6个月;视项目情况而定; ►关于招募对象蓝方人员:高级工程师、中级工程师、初级
阅读全文AI换脸攻击激增300%!你视频会议里的领导同事可能都是伪造的
最新报告显示,视频通话中的AI换脸攻击事件数量在2024年激增300%,有多家企业因此损失惨重,甚至包括安全意识培训厂商;实时人脸伪造技术快速普及,犯罪生态迅猛扩张,2024年已发现31个新团伙在出售
阅读全文【完美抢劫】一场基于 MITRE ATT&CK 框架的现代 APT 攻击模拟推演
攻击背景:一场精心设计的数字劫案本文还原了一场基于真实 APT 攻击手法的攻击事件(代号“完美抢劫”)。攻击者通过多阶段协作技术,实现对目标网络的深度渗透。以下流程融合了十大最常用的 ATT&CK 技
阅读全文Spring漏洞综合扫描工具
YYBaby_v1.0 Spring_Scan Tools 简介Spring综合扫描工具GitHub 地址:https://github.com/CllmsyK/YYBaby-Spring_Scan支
阅读全文DeepSeek数据泄露,12000个硬编码的有效API密钥和密码遭曝光;|非法解密快递单号牟利,侵入后台贩卖30万条个人信息;
DeepSeek数据泄露,12000个硬编码的有效API密钥和密码遭曝光;近期的一项分析发现,在公开抓取的网络数据中,存在 11908 个有效的 DeepSeek API 密钥、密码和身份验证令牌。据
阅读全文89%的企业生成式AI使用未被IT部门察觉,暴露数据安全隐患
企业当前要么正在采用生成式AI(GenAI)解决方案,要么正在评估如何将这些工具整合到业务计划中,或者两者兼而有之。为了推动明智的决策和有效的规划,获取硬数据至关重要,然而此类数据却出人意料地稀缺。L
阅读全文内网横向扩大战果,RDP远程桌面密码凭证获取
1►前言介绍在授权渗透过程中,如果获取了一台windows的权限,可以尝试去获取该主机保存的远程桌面连接凭证,从而在内网横向中扩大成果。也就是当我们获取一台windows服务器,可以尝试获取本地远程连
阅读全文CyberMatrix 是一个基于 AI 的代码安全分析工具,专注于自动化检测和分析代码中的潜在安全漏洞。
工具介绍CyberMatrix 是一个基于 AI 的代码安全分析工具,专注于自动化检测和分析代码中的潜在安全漏洞。核心功能1. 深度安全分析自动识别代码中的安全风险点支持检测 SQL 注入、XSS、C
阅读全文安全提醒!手机这些入口及时关;|能收集微信、QQ数据?间谍软件LightSpy新增100+指令;|
安全提醒!手机这些入口及时关;稍有不慎就可能成为泄密源头。那么,照片中包含哪些信息呢?首先是EXIF信息。EXIF信息是一种嵌入在照片中的元数据,它记录了照片的拍摄时间、分辨率、相机制造商、相机型号
阅读全文冷钱包"金身"告破:朝鲜黑客制造史上最大规模加密货币劫案
一场导致全球加密货币市场暴跌的惊天劫案在上周五浮出水面。迪拜加密交易所Bybit遭遇的15亿美元以太坊资产失窃案,不仅刷新数字资产单次失窃金额纪录,更暴露出多重签名冷钱包这一"行业金标准"的系统性风险
阅读全文域渗透之cyberstrikelab—Thunder
文章首发在:先知社区原文链接:https://xz.aliyun.com/news/16753入口机信息收集连上openvpn自动跳转到ThinkPHP页面漏洞发现利用ThinkPHP综合利用工具梭哈
阅读全文一款burp被动扫描的fastjson漏洞探测插件,已实现漏洞探测、版本、依赖探测、出网及不出网利用和bypass waf功能
工具介绍FastjsonScan4Burp 一款基于burp被动扫描的fastjson漏洞探测插件,可针对数据包中的存在json的参数或请求体进行payload测试。旨在帮助安全人员更加便捷的发现、探
阅读全文央视曝光电诈新招,“手机口”充当诈骗分子“隐形传话筒”;|AI代理互识身份后切换加密通话:暗语背后的AI自治边界
央视曝光电诈新招,“手机口”充当诈骗分子“隐形传话筒”;IT之家 2 月 26 日消息,据央视新闻报道,近期流行的一种名叫“手机口”的电诈骗局:用两部手机,免提都打开,双方就可以直接对话,但是又能成
阅读全文2025红队报告:AI被夸大,并未颠覆网络安全威胁格局
虽然AI应用热潮产生了大量新的攻击媒介和数据安全威胁,但AI并未颠覆网络安全威胁格局,2025年的现实威胁仍以传统TTPs为主。据网络安全公司Picus Labs发布的《2025年红队报告》(Red
阅读全文【挖洞之旅】一种验证码爆破漏洞的全新思路 | 简单实用
1►前言以往,遇到验证码,测试爆破都是重发几次,如果有次数限制大家就不会继续挖了,其实还有个方法可以尝试,我已经通过这个方法得到不少赏金,希望思路对大家有用。验证码认证分为两个步骤:请求验证码校验验证
阅读全文若依Vue框架漏洞检测工具,包括 Swagger、Druid、文件下载漏洞、SQL 注入、定时任务漏洞和任意密码修改漏洞等
工具介绍若依 Vue 框架应用程序中的常见漏洞。该工具提供了多种漏洞检测模块,包括 Swagger 检测、Druid 检测、文件下载漏洞检测、SQL 注入检测、定时任务漏洞检测和任意密码修改漏洞检测等
阅读全文“手机NFC碰一下钱就没了”?真相是……|致命RAT钓鱼攻击瞄准使用中国云服务的亚太行业
“手机NFC碰一下钱就没了”?真相是……移动支付、刷公交卡、电子门禁,日常生活中智能手机的近场通信技术,也就是大家常说的NFC功能,为我们带来很多便利。近期,网络上出现了一些声称“通过近距离接触的支
阅读全文2025年第一季度五大活跃恶意软件攻击趋势
2025年第一季度,网络安全战场硝烟四起。网络犯罪分子继续发起新的攻击并优化其攻击手段。以下是五大值得关注恶意软件家族及其在控制环境中的分析概述。NetSupport RAT:利用ClickFix技术
阅读全文解锁高级网络与信息安全工程师证书
今天给大家分享2025年热门证书高级网络与信息安全工程师证书和高级信息系统运维管理工程师证一、高级网络与信息安全工程师证书1、高级网络信息安全工程师是什么?高级网络信息安全工程师是网络安全领域的专业人
阅读全文CVE-2024-45507漏洞利用实战:代码分析与自动化检测工具
该项目是一个开源的电子商务平台,提供创建基于最新的J2EE/XML规范和技术标准。各模块之间的功能比较松散,用户可以根据自己的需求进行拆卸整合,非常灵活。该漏洞属于Apache OFBiz中的服务器端
阅读全文朝鲜黑客窃取价值超百亿元的加密货币,金额创历史新高;|CS2 社区现“直播劫持”诈骗:骗取观众加密货币及 Steam 贵重资产;
朝鲜黑客窃取价值超百亿元的加密货币,金额创历史新高;Bybit首席执行官Ben Zhou称,黑客控制了公司一个未联网的“冷钱包”,将资金转移至未知地址;区块链情报平台Arkham援引ZachXBT提
阅读全文AI时代的头号安全威胁:机器身份
GoUpSec点评:AI正在引发一场网络安全攻防技术的军备竞赛,但一个更大的风险——机器身份,却往往被人们忽视。2025年以DeepSeek为代表的生成式AI技术迅猛发展,为企业带来了前所未有的创新机
阅读全文2025年十大最佳勒索软件防护工具
勒索软件是一种加密受害者文件并要求支付赎金以换取解密密钥的恶意软件。赎金通常以加密货币支付,金额从几百美元到几千美元不等。勒索软件攻击可能给企业和个人造成重大经济损失和业务中断。为防范勒索软件,用户应
阅读全文